ocsp.thawte.com probleem (relatie xs4all DDoS?)
Ik heb problemen met https sites die thawte certificaten gebruiken: ik heb in Firefox namelijk ingesteld staan dat als OCSP checks niet werken, de verbinding moet worden geweigerd. Als ik die eis weghaal duurt het nog steeds meerdere seconden voordat bijv. https://www.google.com/ en https://secure.security.nl/ openen.
Nu ben ik xs4all klant, maar ik vraag me af of de problemen die ik zie iets te maken hebben met de DDoS aanvallen op xs4all van vandaag.
De primaire oorzaak van het probleem [i]lijkt[/i] dat ocsp.thawte.com niet resolved (maar verder alles wat ik check wel): [code]C:\>nslookup ocsp.thawte.com
Server: resolver.xs4all.nl
Address: 194.109.6.66
DNS request timed out.
timeout was 2 seconds.
*** resolver.xs4all.nl can't find ocsp.thawte.com: Server failed
C:\>nslookup www.thawte.com
Server: resolver.xs4all.nl
Address: 194.109.6.66
Non-authoritative answer:
Name: www-thawte-ilg.verisign.net
Address: 69.58.181.130
Aliases: www.thawte.com[/code] (sorry voor de lege regels ertussen, oorzaak is een security.nl bug bij "code" regels in het bovenste bericht).
Interessant is dat USA DNS servers (nog/al) wel werken: zie bijv. [url]http://network-tools.com/default.asp?prog=lookup&host=ocsp.thawte.com[/url] of vul ocsp.thawte.com in op [url]http://www.geektools.com/digtool.php[/url]. Het lijkt dus een xs4all DNS probleem.
Echter, als ik 1 van de IP adressen van ocsp.thawte.com in m'n hosts file opneem werkt het nog steeds niet!
Nb. ocsp.thawte.com heeft meerdere adressen, zie bijv. message 3 in [url]http://community.arubanetworks.com/t5/ArubaOS-and-Controllers/OCSP-on-Firefox/td-p/11129[/url]. Ik heb "199.7.50.72 ocsp.thawte.com" en "199.7.55.72 ocsp.thawte.com" geprobeerd.
Hoe dan ook, het is een zeer onbevredigende situatie dat OCSP van thawte niet werkt!
Zien jullie (bij andere ISP's of ook bij xs4all.nl) dit ook? Heeft iemand een verklaring?
Behalve dat als mogelijke aanvallers de OCSP server platleggen, Firefox met standaard instellingen dus geen waarschuwing geeft, is er nog een zwakte-punt.
Als ik de uitleg in het Firefox OCSP-menu goed begrijp wordt een certificaat via OCSP gevalideerd via een door het certificaat gespecificeerde OCSP server, ALS er 1 wordt gespecificeerd. Dus als een website is gehacked of er een Man-in-the-Middle aanval word uitgevoerd kunnen de aanvallers in hun valse certificaat gewoon geen OCSP server specificeren of een eigen server opgeven. Het is in Firefox iig wel mogelijk om zelf een OCSP server te specificeren die alle certificaten moet valideren.
monitor:~# dig -t A ocsp.thawte.com
; <<>> DiG 9.6-ESV-R4 <<>> -t A ocsp.thawte.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 15175
;; flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 0
;; QUESTION SECTION:
;ocsp.thawte.com. IN A
;; ANSWER SECTION:
ocsp.thawte.com. 334 IN CNAME ocsp.verisign.net.
ocsp.verisign.net. 1 IN A 199.7.55.72
;; Query time: 33 msec
;; SERVER: 192.168.1.4#53(192.168.1.4)
;; WHEN: Wed Apr 18 11:08:10 2012
;; MSG SIZE rcvd: 80
monitor:~#
Op dit moment werken de lookups weer (met beide DNS servers 194.109.6.66 en 194.109.9.99). Eerder vandaag had ik helaas geen gelegenheid dit te testen.
Zowel DNS als antwoord werken nu. Ik heb geen idee wat er aan de hand was.
nslookup
> server 4.2.2.4
Default Server: [4.2.2.4]
Address: 4.2.2.4
> ocsp.thawte.com
Server: [4.2.2.4]
Address: 4.2.2.4
Non-authoritative answer:
Name: ocsp.verisign.net
Address: 199.7.50.72
Aliases: ocsp.thawte.com
>
Op dit moment werken de lookups weer (met beide DNS servers 194.109.6.66 en 194.109.9.99). Eerder vandaag had ik helaas geen gelegenheid dit te testen.
Zowel DNS als antwoord werken nu. Ik heb geen idee wat er aan de hand was.
In een Usenet posting van Mike (van xs4all) bleek dat het collateral damage was van de DDoS . Er waren vrij brede filters gezet omdat er heel veel sources waren, en ook de NS'en van ocsp.thawte.com zaten in de buurt van van DoS source IPs.
Het is inmiddels gefixed.
(@dutchfish : je zegt er niet bij of je het ook vanuit het xs4all netwerk probeerde)
En wellicht zaten 199.7.50.72 en 199.7.55.72 ook in de buurt van de DDoSers, dat zou verklaren waarom ik met een van die adressen gevolgd door "ocsp.thawte.com" in m'n hosts file vanaf m'n xs4all account ook niet kon bereiken.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
